Nieuwe browser-aanval onthult surfgedrag aan websites
Een onderzoekster heeft een nieuwe browser-aanval gedemonstreerd waardoor websites het surfgedrag van bezoekers kunnen achterhalen, ook als de surfgeschiedenis eerder door de gebruiker is verwijderd. De aanval maakt gebruik van HTTP Strict Transport Security (HTST) en Content Security Policy (CSP).
HSTS zorgt ervoor dat websites die via HTTPS te bezoeken zijn alleen via HTTPS worden bezocht, ook al wordt er HTTP in de adresbalk ingevoerd. De browser vangt in dit geval de opdracht van de gebruiker af en verandert die automatisch in HTTPS. CSP is een maatregel die cross-site scripting moet voorkomen. De aanval werd dit weekend tijdens de ToorCon conferentie door onderzoekster Yan Zhu gedemonstreerd (pdf).
Aanval
Om de aanval uit te voeren moet een kwaadaardige pagina afbeeldingen van een HSTS-website embedden. De browser zal echter proberen om de afbeeldingen via HTTP te laden. Vervolgens wordt CSP gebruikt om te voorkomen dat HSTS ervoor zorgt dat ze via HTTPS worden geladen. In het geval CSP een afbeelding blokkeert veroorzaakt dit een foutmelding. Aan de hand van de tijd dat het duurt voordat de foutmelding verschijnt kan worden bepaald of de internetgebruiker de HSTS-website waarvan de afbeelding werd geprobeerd te laden eerder heeft bezocht.
Naast de uitleg op haar eigen weblog heeft Yan Zhu ook een demonstratiepagina online gezet die alleen werkt met Chrome en Firefox. Daarnaast moet de HTTPS Everywhere browserplug-in zijn uitgeschakeld. Tevens kunnen alleen eerder bezochte websites worden achterhaald die van HSTS gebruik maken. Op Hacker News wordt geopperd dat websites de aanval kunnen voorkomen door hun domein aan de HSTS preload list te laten toevoegen. In dit geval is de domeinnaam hardcoded in de browser opgenomen zodat die alleen via HTTPS wordt bezocht. Een medewerker van Mozilla noemt het op Reddit een "slimme aanval" en stelt dat de browserontwikkelaar naar een oplossing zoekt.
99,7% van de sites die daar staan heb ik niet/nooit bezocht. met de https plugin aan laat hij heel veel sites zien. en gokken oh ja je heb vast een keer ing.nl bezocht of rabobank.nl. Ing heb ik al iets van 2 jaar niet meer sinds ik ben overgestapt op ASN en rabo nooit gehad.
Als ik de pagina een paar keer herlaad komen er telkens andere resultaten uit, dus een erg betrouwbare fingerprint is het ook niet. Ik dacht eerst dat door de controle uit te voeren, die sites in je cache terecht komen zodat ze daarna altijd bij bezocht blijven, maar als ik nog een paar keer herlaad wordt de lijst weer korter.
Een site uit de lijst die ik expres bezocht hebt staat vervolgens wel bij 'bezocht', maar na een uurtje is ook die weer weg.
Als ik met Firefox en HTTPS Everywhere uit, naar de demo site van het MIT ga, dan zie ik dus,
zoals te verwachten was, NIETS.
Uiteraard heb ik eerst een tig aantal HSTS sites bezocht.
"The HTTP Public Key Pinning attack works only in Chrome currently."
Google Chrome gebruikers zijn dus dubbel de pineut, maar deze geven toch al niets om hun privacy,
waarschijnlijk de reden waarom Google er voorlopig ook niets aan gaat doen. (Lees de artikelen
waar hierboven naar verwezen wordt.)
Hoewel Torbrowser voorzien is van NoScript en HTTPS Everywhere, kan deze tactiek werken wanneer javascript wordt toegestaan en HTTPS Everywhere wordt uitgeschakeld er er websites zijn bezocht die gebruikmaken van de HSTS techniek/lijst.
Echter, wie schakelt er HTTPS Everywhere uit?
Zal weinig voorkomen.
Evengoed wordt die historie kennelijk gewist met het simpel vernieuwen/cleanen van de browser door een nieuwe identity te kiezen onder Torbutton.
Opnieuw bezoeken van die pagina met opnieuw toestaan van javascripts en uitschakelen van HTTPS Everywhere leert dat zij de bezochte HSTS websites niet meer weergeeft (al gaf het script al niet alles weer).
Torbrowser
simpel en doeltreffend
Wen er nu alvast aan, voor als alle plannetjes van big brother verder worden doorgedrukt
https://www.torproject.org/
@Anoniem 20:11 Hoewel de standaardinstellingen Google veel laten weten, kun je met het aanpassen van instellingen Chrome redelijk privacyvriendelijk te maken. (Overigens gebruik ik meestal Firefox, want deze browser biedt net wat meer vrijheid met de configuratie en de extensies.)
https://chrome.google.com/webstore/detail/keyboard-privacy/aoeboeflhhnobfjkafamelopfeojdohk
Helaas is hij er (nog steeds) niet voor FireFox.
On Topic: Met RequestPolicy actief had ik 100% van de sites bezocht. Met Request Policy Allow All, had ik 100% niet bezocht, ook met HTTPS everywhere disabled. Ben dus nog niet echt onder de indruk ;-)
Geen enkele instelling in Google Chrome geeft echte privacy.
U heeft nog nooit van Edward Snowden gehoord of u heeft het nog steeds niet begrepen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
